Пост Лукацкого

21 января 2025 03:37

Конференция по безопасности, начинающаяся с религиозных песнопений и молитвы 🤲 Done!

Пост Лукацкого

20 января 2025 10:32

Вспомнил тут давно услышанную историю о том, почему топографические карты 🗺 с разрешением более 50 м (1:50000) являются секретными. Точкой отсчета считается 1929 год, когда карты, отображающие детали рельефа с разрешением больше 30 метров, стали маркироваться как секретные 🙊 Почему именно 30 метров, а не 50 и не 100 и не 10? Все оказалось до безобразного просто - это была принятая в Рабоче-крестьянской Красной Армии (РККА) убойная дистанция при разрыве снаряда, выпущенного из гаубицы ⚔️

В Интернете ходит 🚶‍♂️ легенда про то, что современный прогресс зависит от ширины задницы лошади, от которой отталкивались размеры дорог еще в Римской империи, потом колея ж/д и т.п. Это байка, но забавная, показывающая, что очень многое у нас в современном мире зависит от 🍑 старых установок, стандартов и правил. И это временами мешает жить и развиваться.

История про убойную дистанцию при выстреле из гаубицы из той же серии. И вообще в ИБ у нас очень много чего устаревшего, что живет не просто годами, а десятилетиями (вспомним 152-ю инструкцию ФАПСИ), отбрасывая развитие назад.

#засекречивание

Пост Лукацкого

20 января 2025 05:40

Вокруг поста про разработанный моими коллегами пет-проект PentAGI развернулась небольшая дискуссия ⚔️ об этичности выкладывания в паблик такого софта. А я наброшу дальше. Артем Семенов, также мой коллега из 🟥, поделился своим пет-проектом 🥇 в области OSINT - с помощью мультиагентского ИИ система позволяет собирать данные об интересующих субъектах из разных источников.

Что интересного в этой истории? Как по мне, так я бы отметил два важных момента. Во-первых, это пет-проекты, а не продукты компании Positive Technologies. Иными словами, это то, что коллеги создавали 🧑‍💻 в свободное время и по собственному желанию (на Github вообще очень много таких проектов). Такие проекты позволяют отвлечься, их авторы не скованы корпоративными ограничениями (хотя в ПТ их и нет особо), и, в перспективе, они могут превратиться (правда, могут и нет) в полноценное бизнес-направление 🪙 История знает немало примеров, когда пет-проект приводит к многомиллиардному бизнесу 💰

Во-вторых, упомянутые проекты показывают растущую роль мультиагентского искусственного интеллекта 🧠 в деятельности ИБ. Не побоюсь этого слова, но думаю, что агентский ИИ - это прорыв в целом и в ИБ в частности. С его помощью сейчас активно модернизируется деятельность SecOps 🛡 Монолитные решения уходят в небытие и им на смену приходит просто микросервисная архитектура, где мультиагентский ИИ займет свое достойное место 🥇

ЗЫ. Интересно, а написание книги может рассматривать как пет-проект?

#ии #opensource #osint

Пост Лукацкого

19 января 2025 19:32

Трамп и его команда, те еще «хакеры». Ломают сложившиеся веками правила на раз-два. Я попробовал себе представить, чтобы кто-то из администрации Путина позволил себе схожее сказать в отношении министра финансов... И не смог 🤷‍♀️

#инцидент

Пост Лукацкого

19 января 2025 08:22

Первый, кто решится рекламировать кибербез на Pornhub, сорвет всю кассу 💄 Если не в корпоративной среде, то в качестве лекций по персональному кибербезу. Так сделала Zara Dar, которая не окончила свое обучение в ВУЗе и продолжила свою карьеру на OnlyFans 🎓

Она стала постить лекции по STEM (science, technology, engineering, and math) на PornHub. Параллельно она тоже самое публикует и на Youtube, но как видно из поста самой Зары платформа для порнографического контента позволяет лучше монетизировать свои знания 🤑

Может курс по кибербезу (на испанском и английском) там попробовать продвинуть? 🤔

#обучение

Пост Лукацкого

18 января 2025 19:13

Пока это, вроде, самый крупный ущерб от мошенничества с использованием дипфейков 🎭 в отношении частного лица, а не компании. Хорошо, что у меня столько денег нет и Анджелина Джоли, с которой я сейчас переписываюсь, настоящая, разделяющая русские ценности и интересующаяся кибербезом. Пока только билет на PHD3 просит оплатить 🤤 и проживание в «Национале»

#инцидент #дипфейк

Пост Лукацкого

18 января 2025 08:06

Вся правда о книгописательстве из первых рук, то есть от меня ✍️ На Хабре выложили интервью со мной о том, как я писал свою первую книгу, насколько это было сложно, какие лафйхаки есть, чтобы побороть боязнь чистого листа, сколько можно заработать денег на издании книг и вообще... 🤔

#книга

Пост Лукацкого

17 января 2025 15:33

В LinkedIn интересный пост, в котором автор решил проанализировать все временные параметры 🕙 по использованию и устранению уязвимостей среди популярных поставщиков аппаратного и программного обеспечения. В качестве визуализации полученных результатов был предложен "трагический квадрат" (ржака 😂):

1️⃣ Верхний левый угол - самая проблемная зона, где время на устранение уязвимости сравнительно медленное, а время до эксплуатации уязвимости (автор анализировал только известные CVE) быстрее среднего. Продукты в этом квадранте требуют особого внимания со стороны команд IT и управления уязвимостями ⚠️

Попадание в этот квадрат не означает, что у вендора все плохо. Он мог выпустить патч, но заказчик его не поставил, потому что у него не было автоматической системы установки обновлений 🔄 или обновление критической системы сопряжено с возможным нарушением доступности оказываемого сервиса.

Хотя нахождение в нем open source решений подсказывает нам, что стоит в очередной раз пересмотреть 🤔 свою стратегию защиты такого ПО, которое используется сегодня почти всеми, но мало кто пытается самостоятельно защищать его, рассчитывая, что "вендор выпустит обновление и тогда мы его поставим". А может быть поздно 😭

2️⃣ Нижний правый угол включает продукты, которые обеспечивают более благоприятные условия для ИБ, так как уязвимости в них устраняются быстрее ⌛, чем они начинают эксплуатироваться. Как видим, там не очень много решений.

#AppSec #оценказащищенности

Пост Лукацкого

17 января 2025 05:40

Дожили, использование комментариев 🧑‍💻 в исходниках ПО рассматривается как пример применения искусственного интеллекта 😂 В данном случае показан фрагмент DDoS-скрипта от хакера Scorpion (он же DesertStorm), участника предположительно алжирской ransomware-группировки FunkSec.

Она славится не только тем, что требует выкуп за украденные данные существенно меньше других группировок (менее 10 тысяч долларов), но и тем, что активно пробует использовать ИИ в своей деятельности 🧠 Сначала Scorpion выложил у себя на Youtube-канале якобы перехваченные телефонные переговоры Трампа и Нетаньяху, которые оказались просто синтезированной ИИ речью двух политиков. Затем в своих публичных заявлениях на форумах FunkSec писали про использование ИИ при разработке кода. Они также используют ИИ-чатбота для поддержки своих операций 🤖

Мы в прошлом году, в исследовании про использование ИИ на темной стороне 🤖 указывали, что пока "плохие парни" только тестируют возможность использования ИИ при написании вредоносного кода, но эта практика будет шириться. И вот первые сигналы, что тренд набирает обороты 🤖

#ИИ #хакеры #ransomware

Пост Лукацкого

16 января 2025 15:33

🧐 Сходить к психологу в поисках ответов, как выйти на багбаунти, — минус несколько тысяч рублей. Посмотреть на то, как это делали hh․ru и Rambler&Co, — бесплатно.

Начинаем год с полезного контента: в новом видосе обсудили, как одни из первых компаний на платформе Standoff Bug Bounty принимали решение о выходе на багбаунти, с какими проблемами сталкивались и почему уверены, что дружить с багхантерами — выгодно.

Поговорили об этом с Константином Ермаковым, руководителем направлений проектной безопасности Rambler&Co, и Станиславом Громовым, техническим руководителем по ИБ hh․ru. В дискуссии принял участие Анатолий Иванов, CPO Standoff Bug Bounty, а вопросы гостям задавал Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies.

🔍 Из ролика вы узнаете:

• чем уникально багбаунти в сравнении с пентестом и аудитом.

• как выстроен процесс решения проблем с дубликатами.

• как выглядит калькулятор импакта от найденных уязвимостей.

• на каких уязвимостях фокусироваться багхантерам...

• ...и нужно ли вообще себя ограничивать?

И многое другое о нюансах (а иногда — даже о вызовах!) внутри рабочих процессов компаний в отношении багбаунти!

Смотрите ролик на любой удобной платформе:

📺 YouTube 📺 Rutube 📺 VK Видео

Пост Лукацкого

16 января 2025 10:13

В Америке сейчас начало подгорать... 🔥 в переносном смысле. Вдруг выяснилось, что богатые жители Лос-Анджелеса и прилегающих районов стали пользоваться услугами частных пожарных бригад для спасения своих жилищ 🚒

И понять их можно. В условиях, когда у государственных пожарных 👨🏻‍🚒 не хватает ресурсов, да и те урезают (от губернатора Калифорнии и мэра Лос-Анджелеса сейчас требуют подать в отставку за то, что первый урезал бюджет пожарников штата на 100 миллионов, а вторая городской бюджет - на 17 соответственно за пару недель до начала пожаров ✂️), будешь хвататься за любую соломинку. А уж когда у тебя есть деньги, соломинка может быть и потолще. Можно понять и простых граждан, у которых таких возможностей нет 🧯

Я попробовал спроецировать эту ситуацию на рынок кибербезопасности. У компании, столкнувшейся с инцидентом ИБ, две альтернативы - обратиться в правоохранительные органы 👮‍♂️ или в частные специализированные компании. В первом случае это бесплатно, но муторно, долго, без претензий по качеству и гарантий результата. Во втором... ну вы и сами все понимаете ⚖️

И хотя ИБ и МЧС близки по своей сути (оба борются с чрезвычайными ситуациями - в обычном мире и в виртуальном), но отношение к частникам в этих двух сферах разное 🤔 Кажется мне, это потому, что пожарные 🧑‍🚒 уже давно часть нашей многовековой истории и мы привыкли, что они обязаны приходить на помощь в любое время и бесплатно. А вот ИБ - достаточно свежая область, на которую мы пока не проецируем наши ожидания из других сфер. Но, видится мне, что это пока...

#управлениеинцидентами

Пост Лукацкого

15 января 2025 19:21

https://tweetfeed.live/ вернулся ✋ и начал снова постить IoC, собранные из Twitter / X

#threatintelligence

Пост Лукацкого

15 января 2025 09:56

Знаете, во внутреннем SOC Cisco не было деления на уровни аналитиков L1-L3, что объяснялось достаточно просто 🤌 Иерархия аналитиков по линиям тупиковая ветвь развития, которая только убивает рынок ИБ и отбивает охоту у аналитиков первой линии вообще заниматься кибербезом 😰

С одной стороны L1 - это начало карьеры, этакие открытые ворота, дальше которых многие и не проходят. Потому что именно на первой линии заедает рутина, занудство, повторяющиеся и часто скучные операции 🥱 До расследования Salt Typhoon или Space Pirates начинающих аналитиков не допускают и они тупо сортируют и триажат сигналы тревоги от десятков разнородных средств защиты, передавая что-то старшим товарищам, которые и работают с самой мякоткой 👨‍💻

Это ограничивает начинающего аналитика не только в части удовлетворения от своей работы, но и в части обучения. Ведь обычно его не учат принципам, его учат работе с конкретным продуктом 😫 И аналитик L1 очень быстро разочаровывается. Не получив новых знаний и навыков, у него пропадает не только желание идти дальше, но его и не берут особо, так как он ничего не умеет. Поэтому ротация на этом уровне колоссальная - до 90% в год и далеко не все переходят на L2 😯

Поэтому в Cisco идея была в другом - дать аналитику возможность пройти весь жизненный цикл управления инцидентом - от триажа и заведения тикета до расследования и реагирования. И неважно, джун это или матерый специалист. К джуну приставить ментора на парочку инцидентов, а дальше сам 🤔 Справился - отлично, есть возможности для роста. Не справился - пусть идет журналы инструктажа пользователей заполняет 🫵

Поэтому лишний раз задумайтесь, стоит ли вам так уж стремиться к иерархии L1-L3 или стоит сразу выстраивать "плоскую" схему, которая поможет сформировать штат высококлассных аналитиков в SOC, которые смогут в "одно лицо" разбирать большинство инцидентов, не теряя время на передачу с линии на линию. Правда, это потребует смены фокуса на формирование культуры наставничества, а к этому готовы не все. Но дорогу осилит идущий 🚶

#SOC

Пост Лукацкого

15 января 2025 03:09

Miyako продолжает шерстить компании через дыры в межсетевых экранах 🤬 В прошлый раз это, с высокой вероятностью, была RCE в Palo Alto. В этот раз, возможно, речь идет об обнаруженной Zero Day в Fortinet. Но тут интересно, что хакнули американскую компанию из области Cyber Threat Intelligence 🧑‍💻 Имя miyako, по традиции, не называет. Оборот компании - 25 миллионов долларов. Доступ продается всего за 600 баксов 💰

#инцидент #threatintelligence

Пост Лукацкого

14 января 2025 16:18

В тему, но с точки зрения стоимости Интернет-сбоев

#ущерб

Пост Лукацкого

20 января 2025 19:22

Что общего между алкоголем и СКЗИ? И там и там всего 3 категории продукции:
🥛 безалкогольное (без шифрования)
🍺 пиво (длина ключа до 56 бит)
🥃 крепкие напитки (длина ключа свыше 56 бит)!

#юмор #криптография

Пост Лукацкого

20 января 2025 07:51

Судя по названию компании, они занимаются хранением боевых вирусов 🦠

Пост Лукацкого

20 января 2025 02:57

Ближайшие дни в Малайзии 🇲🇾 на удаленке…

Пост Лукацкого

19 января 2025 13:31

Ржака 🤣 Смотреть лучше без звука, он отвлекает.

#юмор

Пост Лукацкого

18 января 2025 19:14

Во Франции 53-летняя женщина ушла от мужа-миллионера ради мошенника, выдававшего себя за Брэда Питта.

Все началось в 2023 году, когда Анна завела аккаунт в соцсетях. «Питт» писал ей, флиртовал, осыпал комплиментами, предлагал брак и «дарил» дорогие подарки, требуя 5 тысяч евро за таможенные пошлины. С помощью фото и видео сомнительного качества, созданных нейросетями, мошенник убедил Анну, что она действительно общается с актером.

«Питт» жаловался, что из-за развода с Анджелиной Джоли его счета заморозили. И тогда Анна переводила ему деньги якобы на лечение от рака. Потом женщина увидела фотографии реального Питта с новой девушкой Инес де Рамон и все поняла. Потеряв больше 800 тысяч евро, семью и друзей, Анна попала в больницу с депрессией.

Дорогие, берегите себя от таких «любовников»! Никогда не верьте словам — только делам. И не переводите деньги кому попало.

Лучше старый муж в руках, чем Питт в небе!

Девочки, а вы сталкивались с такими романтическими мошенниками?

Пост Лукацкого

18 января 2025 13:29

Автоматизация - штука хорошая, но делать ее надо с умом. Вот возьмем свежую уязвимость CVE-2024-55591 в Фортинете 🤬 В бюллетене по ней упомянуты IP-адреса, с которых чаще всего фиксируются попытки использования дыры. Кто-то автоматом разбирает такие бюллетени (конечно же с помощью ИИ), вычленяет IoCи и вносит их в списки на блокировку или в поиск на SIEM с автоматическим заведением тикетов при обнаружении ⚙️

И зачем тогда потом удивляться, что «Интернет не работает» или число фолсов в SIEM зашкаливает, а у аналитиков SOC не хватает времени, разобрать все кейсы? 🤔

#автоматизация #threatintelligence

Пост Лукацкого

17 января 2025 19:21

Мне кажется или и правда, что хакерские группировки стали какими-то мелкими и одноразовыми? 👶 Взломали одну компанию, создали под это дело отдельный Telegram-канал, придумали себе название, запилили логотип с помощью ChatGPT, и все... молчание и затухание активности 🧑‍💻 Исключения, конечно, есть, но они скорее подтверждают наблюдение.

#хакеры

Пост Лукацкого

17 января 2025 10:19

В августе прошлого года я писал про стартап XBOW, который разработал ИИ-агента по проведению автономных пентестов. Прошло полгода, а сервис до сих пор предлагает записаться в лист ожидания ☹️ Тем приятнее, что мои коллеги из 🟥 выпустили своего автономного пентестера PentAGI с аналогичной функциональностью. Но в отличие от XBOW, никаких листов ожидания - код доступен на GitHub под MIT лицензией, что означает, что вы можете спокойно тестировать это решение и оценить его способности (без регистрации и СМС).

PentAGI - это мультиагентная система, которая проводит тесты на проникновение 🤖 Сейчас это, преимущественно, web-приложения, но это только начало. Каждый агент решает свою задачу за счет использования различных ИИ-инструментов, не ограниченных чем-то одним 🤖 Это может быть ChatGPT, CLAUDE, DeepSeek или OpenRouter. Никакой облачной инфраструктуры - просто берете соответствующий образ с Docker Hub и разворачиваете внутри своей инфраструктуры. Ну а дальше все просто - задачи на человеческом языке, визуализация результатов, мониторинг действий, сгенерированный отчет... 🤖

Ссылка на проект - https://pentagi.com

#ИИ #пентест #opensource

Пост Лукацкого

16 января 2025 16:15

Трындец... Генпрокуратура признала OpenText нежелательной на территории России организацией 🤦‍♂️ Напомню, что именно OpenText'у принадлежит популярный в России Arcsight SIEM и средства анализа кода Fortify 🤔 За финансирование (оплата продуктов) нежелательной организации предусмотрена уголовная ответственность согласно ст.284.1 УК РФ.

#SIEM #УК #суверенитет

Пост Лукацкого

16 января 2025 11:20

В штаб-квартиру разработчиков сервиса проверки авто "Автокод Профи" в Екатеринбурге пришли с обысками. Предварительная причина — несанкционированное разглашение персональных данных.

По данным Mash, следственные действия в офисе IT-компании SpectrumData на улице Добролюбова начались сегодня утром. У сотрудников изъяли телефоны, их попросили оставаться на своих местах и не препятствовать работе следователей и представителей спецслужб. Вход и выход закрыли.

Компания SpectrumData разработала приложения "Автокод Профи", "Автобаза", Spectrum Бюро, CheckPerson и другие. Основная специализация — базы данных граждан и юрлиц России.

❗️ Подписывайся на Mash

Пост Лукацкого

16 января 2025 05:40

Тут один российский разработчик решил выпустить решение класса CDR (Cloud Detection & Response) 🔍 и я сразу вспомнил, с какими сложностями мы сталкивались в Cisco, когда занимались мониторингом безопасности облаков 🌩 У Cisco было (думаю, что сейчас не меньше) под тысячу облачных провайдеров, услугами которых она пользовалась и был свой фреймворк, которым она руководствовалась, делая выбор в пользу того или иного облака ⛈ И мониторинг ИБ был одним из важных его элементов. И я хочу вспомнить, как мы тогда оценивали функционал облаков с этой точки зрения.

Пост Лукацкого

15 января 2025 15:42

Немножко про крупные компании по ИБ, которые помимо собственной разработки 👨‍💻 смотрят в сторону поглощений, что дает более быстрый выход на новые для себя рынки и в новые ниши. Если разработка нового продукта занимает не менее двух лет, то за счет M&A получить новый продукт, да еще и клиентскую базу, можно в среднем за полгода-год (с учетом времени на закрытие сделки). Вполне себе еще одна стратегия, наряду с OEM ⚖️

Правда, иногда сделки оказываются неудачными. Например, в декабре BlackBerry продала купленную в 2018-м году за 1,4 миллиарда долларов Cylance 🤑, разработчика EDR-решений. Продала MDR-провайдеру ArcticWolf, который усилит новым решением свою XDR-платформу. Это уже шестое приобретение для "арктического волка"; ранее они приобрели 💼 компании, работающие в сфере Threat Intelligence, Threat Hunting, обучения по ИБ, расследований инцидентов и оркестрации ИБ, то есть активно дополняя свое основное портфолио. Стоимость сделки - 160 миллионов долларов "кэшом" и 5,5 миллионов акций ArcticWolf (они пока частная компания, на планируют на IPO) 📈

#рынок

Пост Лукацкого

15 января 2025 05:40

Помните двухнедельной давности взлом 🔓 итальянского удостоверяющего центра InfoCert? И вот на RansomHub появилось уведомление о взломе польского УЦ EuroCert ✅ Если через пару недель появится информация о взломе третьего европейского УЦ, то это уже можно считать тенденцией. Чем не тема для мартовской РусКрипто? 🤒

Я даже название секции придумал - "Вопросы обеспечения информационной безопасности удостоверяющих центров. Как не просрать доверие клиентов?" 🤷‍♀️ И обсудить меры, которые предпринимают отечественные УЦ для своей защиты. Есть ли у них планы реагирования на инциденты? 🤬 Как они тестируют свои бэкапы? Как выстроено взаимодействие с ИТ? Как мониторится безопасность в круглосуточном режиме? Почему не выходят на Bug Bounty? Какова финансовая ответственность за невозможность участвовать в сделках из-за недоступности CRL? Ну и т.п. 😭

#инцидент

Пост Лукацкого

14 января 2025 19:37

Все-таки много творчески одаренных людей у нас в ИБ работает... ✍️

Если вам вдруг на работе
В почту ссылочка придёт
от коллеги Владислава:
“Отдохнули мы на славу!
Фото жаркие с Мальдив -
столько распрекрасных див
вы ни разу не видали!
Парни, жмём на ссыль “детали”.

Или контрагент Виталий:
“Мы на днях тут заключали
с вами важный договор,
не учли таможни сбор,
вы по ссылочке пройдите,
файл exe-шный загрузите -
он вам всё пересчитает,
суммы быстро раскидает”.

Или вдруг из ФНС
прилетает смс -
вас в ней сильно отругали
Оправдаться, правда, дали:
“Ссылку нашу вы нажмите -
реквизиты довнесите”.

Ссылки в письмах - чтобы жать!
Адреса не проверять:
от коллег и от друзей -
Смотрим что там поскорей!
Но потом не удивляйся
если мимо пробежит
сисадмин ваш Иннокентий
с криком “Периметр пробит!”

Если кто-то самый главный,
Написал вдруг вам внезапно,
И немножко намекает,
на приватный разговор.
Вам не надо сомневаться,
Такой шанс всего раз в жизни,
Быстро быстро собирайтесь,
И бегом к нему домой.

Пост Лукацкого

14 января 2025 15:17

После факапа с тремя по ошибке отправленными уведомлениями 🔔 об эвакуации жителям Лос-Анджелеса, американские службы спасения ⛑ делятся советом о наличии нескольких каналов коммуникации во время чрезвычайной ситуации, что можно применить и к управлению инцидентами ИБ.

Помню в одной организации шифровальщик 👍 накрыл УПАТС и систему групповых коммуникаций, что сделало невозможным не только взаимодействие группы реагирования, но и дозвониться до всех быстро не удалось ☎️

#управлениеинцидентами